Categorias de regras de regra de assinatura IDPS do Firewall do Azure
O IDPS do Firewall do Azure apresenta mais de 50 categorias que podem ser atribuídas a assinaturas individuais. A tabela a seguir é uma lista de definições para cada categoria.
Categorias
Categoria | Description |
---|---|
3CORESec | Esta categoria é para assinaturas que são geradas automaticamente a partir das listas de bloqueio de IP da equipe 3CORESec. Essas listas de bloqueio são geradas pelo 3CORESec com base na atividade maliciosa de seus Honeypots. |
ActiveX | Esta categoria destina-se a assinaturas que protegem contra ataques contra controlos Microsoft ActiveX e explorações direcionadas para vulnerabilidades em controlos ActiveX. |
Adware-PPI | Esta categoria destina-se a assinaturas para identificar software utilizado para rastreio de anúncios ou outros tipos de atividade relacionada com spyware. |
Resposta ao ataque | Esta categoria destina-se a assinaturas para identificar respostas indicativas de intrusão — os exemplos incluem, entre outros, o download de ficheiros LMHost, a presença de determinados banners Web e a deteção do comando kill Metasploit Meterpreter. Essas assinaturas são projetadas para capturar os resultados de um ataque bem-sucedido. Coisas como id=root ou mensagens de erro que indicam que um compromisso pode ter acontecido. |
Botcc (Bot Comando e Controle) | Esta categoria é para assinaturas que são geradas automaticamente a partir de várias fontes de botnet ativa conhecida e confirmada e outros hosts de Comando e Controle (C2). Esta categoria é atualizada diariamente. A fonte de dados primária da categoria é Shadowserver.org. |
Botcc Porto agrupado | Esta categoria é para assinaturas como as da categoria Botcc, mas agrupadas por porta de destino. As regras agrupadas por porta podem oferecer maior fidelidade do que as regras não agrupadas por porta. |
Chat | Esta categoria destina-se a assinaturas que identificam o tráfego relacionado a muitos clientes de chat, como o Internet Relay Chat (IRC). O tráfego de bate-papo pode ser indicativo de uma possível atividade de check-in por agentes de ameaça. |
CIArmy | Esta categoria é para assinaturas que são geradas usando as regras de IP da Inteligência Coletiva para bloqueio. |
Mineração de moedas | Esta categoria é para assinaturas com regras que detetam malware, que faz mineração de moedas. Essas assinaturas também podem detetar algum software legítimo (embora muitas vezes indesejável) de mineração de moedas. |
Comprometido | Esta categoria é para assinaturas baseadas em uma lista de hosts comprometidos conhecidos. Esta lista é confirmada e atualizada diariamente. As assinaturas nesta categoria podem variar de uma a várias centenas de regras, dependendo das fontes de dados. As fontes de dados para esta categoria provêm de várias fontes de dados privadas, mas altamente fiáveis. |
Eventos Atuais | Esta categoria destina-se a assinaturas com regras desenvolvidas em resposta a campanhas ativas e de curta duração e itens de grande visibilidade que se espera que sejam temporários. Um exemplo são as campanhas de fraude relacionadas com catástrofes. As regras nesta categoria não se destinam a ser mantidas no conjunto de regras por muito tempo, ou que precisam ser testadas antes de serem consideradas para inclusão. Na maioria das vezes, essas serão assinaturas simples para a URL binária do Storm do dia, assinaturas para capturar CLSIDs de aplicativos vulneráveis recém-encontrados onde não temos nenhum detalhe sobre a exploração e assim por diante. |
DNS (Serviço de Nomes de Domínio) | Esta categoria é para assinaturas com regras para ataques e vulnerabilidades em relação ao DNS. Esta categoria também é usada para regras relacionadas ao abuso de DNS, como tunelamento. |
DOS | Esta categoria é para assinaturas que detetam tentativas de negação de serviço (DoS). Estas regras destinam-se a detetar a atividade de DoS de entrada e a fornecer indicações sobre a atividade de DoS de saída. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
Remover | Esta categoria destina-se a assinaturas para bloquear endereços IP na lista Spamhaus DROP (Don't Route or Peer). As regras desta categoria são atualizadas diariamente. |
Dshield | Esta categoria é para assinaturas baseadas em atacantes identificados pela Dshield. As regras nesta categoria são atualizadas diariamente a partir da lista dos principais atacantes do DShield, que é confiável. |
Explorar | Esta categoria é para assinaturas que protegem contra explorações diretas não cobertas em uma categoria de serviço específica. Esta categoria é onde ataques específicos contra vulnerabilidades, como contra o Microsoft Windows, serão encontrados. Ataques com sua própria categoria, como injeção de SQL, têm sua própria categoria. |
Exploit-Kit | Esta categoria destina-se a assinaturas para detetar atividades relacionadas com Exploit Kits, a sua infraestrutura e entrega. |
FTP | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao Protocolo de Transferência de Ficheiros (FTP). Essa categoria também inclui regras que detetam atividades de FTP não mal-intencionadas, como logins para fins de registro. |
Jogos | Esta categoria é para assinaturas que identificam o tráfego de jogos e ataques contra esses jogos. As regras abrangem jogos como World of Warcraft, Starcraft e outros jogos online populares. Embora os jogos e seu tráfego não sejam maliciosos, eles geralmente são indesejados e proibidos pela política em redes corporativas. |
Investigação | Esta categoria é para assinaturas que fornecem indicadores que, quando combinados com outras assinaturas, podem ser úteis para a caça de ameaças em um ambiente. Essas regras podem fornecer falsos positivos no tráfego legítimo e inibir o desempenho. Eles só são recomendados para uso quando se pesquisa ativamente ameaças potenciais no ambiente. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
ICMP | Esta categoria destina-se a assinaturas relacionadas com ataques e vulnerabilidades sobre o Internet Control Message Protocol (ICMP). |
ICMP_info | Esta categoria destina-se a assinaturas relacionadas a eventos específicos do protocolo ICMP, normalmente associadas a operações normais para fins de registro. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
IMAP | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades sobre o protocolo IMAP (Internet Message Access Protocol). Essa categoria também inclui regras que detetam atividades IMAP não maliciosas para fins de registro. |
Inapropriado | Esta categoria destina-se a assinaturas para identificar atividades potencialmente relacionadas com sites pornográficos ou que não são apropriados para um ambiente de trabalho. Aviso: Esta categoria pode ter um impacto significativo no desempenho e uma elevada taxa de falsos positivos. |
Informações | Esta categoria destina-se a assinaturas para ajudar a fornecer eventos de nível de auditoria que são úteis para correlação e identificação de atividades interessantes, que podem não ser inerentemente maliciosas, mas são frequentemente observadas em malware e outras ameaças. Por exemplo, baixar um executável sobre HTTP por endereço IP em vez de nome de domínio. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
JA3 | Esta categoria é para assinaturas para impressão digital de certificados SSL maliciosos usando hashes JA3. Essas regras são baseadas em parâmetros que estão na negociação de handshake SSL por clientes e servidores. Essas regras podem ter uma alta taxa de falsos positivos, mas podem ser úteis para ambientes de caça a ameaças ou detonação de malware. |
Malware | Esta categoria é para assinaturas para detetar software mal-intencionado. As regras nesta categoria detetam atividades relacionadas a software mal-intencionado que é detetado na rede, incluindo malware em trânsito, malware ativo, infeções por malware, ataques de malware e atualização de malware. Esta também é uma categoria altamente importante e é altamente recomendável que você a execute. |
Div | Esta categoria destina-se a assinaturas não abrangidas por outras categorias. |
Malware para dispositivos móveis | Esta categoria é para assinaturas que indicam malware associado a sistemas operacionais móveis e tablets como Google Android, Apple iOS e outros. O malware detetado e associado a sistemas operacionais móveis geralmente será colocado nesta categoria, em vez das categorias padrão, como Malware. |
NETBIOS | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao NetBIOS. Esta categoria também inclui regras que detetam atividades NetBIOS não maliciosas para fins de registro. |
P2P | Esta categoria é para assinaturas para a identificação de tráfego peer-to-peer (P2P) e ataques contra ele. O tráfego P2P identificado inclui torrents, edonkey, Bittorrent, Gnutella e Limewire, entre outros. O tráfego P2P não é inerentemente malicioso, mas é frequentemente notável para as empresas. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
Phishing | Esta categoria destina-se a assinaturas que detetam atividades de phishing de credenciais. Isso inclui páginas de destino exibindo phishing de credenciais e envio bem-sucedido de credenciais em sites de phishing de credenciais. |
Política | Esta categoria destina-se a assinaturas que podem indicar violações à política de uma organização. Isso pode incluir protocolos propensos a abuso e outras transações no nível do aplicativo, que podem ser de interesse. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação". |
POP3 | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao Post Office Protocol 3.0 (POP3). Essa categoria também inclui regras que detetam atividades POP3 não maliciosas para fins de registro. |
RPC | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades relacionadas com Chamada de Procedimento Remoto (RPC). Essa categoria também inclui regras que detetam atividades RPC não maliciosas para fins de registro. |
SCADA | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao controlo de supervisão e aquisição de dados (SCADA). Essa categoria também inclui regras que detetam atividades SCADA não maliciosas para fins de registro. |
ESCANEAMENTO | Esta categoria é para assinaturas para detetar reconhecimento e sondagem de ferramentas como Nessus, Nikto e outras ferramentas de varredura de portas. Esta categoria pode ser útil para detetar a atividade de violação precoce e o movimento lateral pós-infecção dentro de uma organização. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação". |
Código do shell | Esta categoria é para assinaturas para deteção remota de código de shell. O código de shell remoto é usado quando um invasor deseja direcionar um processo vulnerável em execução em outra máquina em uma rede local ou intranet. Se executado com êxito, o código do shell pode fornecer ao invasor acesso à máquina de destino em toda a rede. Os códigos de shell remotos normalmente usam conexões de soquete TCP/IP padrão para permitir que o invasor acesse o shell na máquina de destino. Esse código shell pode ser categorizado com base em como essa conexão é configurada: se o código shell pode estabelecer essa conexão, ele é chamado de "shell reverso" ou "connect back" código shell porque o código shell se conecta de volta à máquina do invasor. |
SMTP | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao protocolo SMTP. Essa categoria também inclui regras que detetam atividades SMTP não mal-intencionadas para fins de registro. |
SNMP | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao SNMP (Simple Network Management Protocol). Essa categoria também inclui regras que detetam atividades SNMP não mal-intencionadas para fins de registro. |
SQL | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas à Structured Query Language (SQL). Essa categoria também inclui regras que detetam atividades SQL não mal-intencionadas para fins de registro. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação". |
TELNET | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao TELNET. Esta categoria também inclui regras que detetam atividades TELNET não maliciosas para fins de registro. |
TFTP | Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao TFTP (Trivial File Transport Protocol). Esta categoria também inclui regras que detetam atividades TFTP não maliciosas para fins de registro. |
TOR | Esta categoria destina-se a assinaturas para a identificação de tráfego de e para nós de saída TOR com base no endereço IP. Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação". |
Agentes do utilizador | Esta categoria destina-se a assinaturas para detetar agentes de utilizador suspeitos e anómalos. Agentes de usuário mal-intencionados conhecidos são colocados na categoria Malware. |
VOIP | Esta categoria destina-se a assinaturas de ataques e vulnerabilidades associadas a Voz sobre IP (VOIP), incluindo SIP, H.323 e RTP, entre outros. |
Cliente Web | Esta categoria é para assinaturas de ataques e vulnerabilidades associadas a clientes da Web, como navegadores da Web e também aplicativos do lado do cliente, como CURL, WGET e outros. |
Servidor Web | Esta categoria é para assinaturas para detetar ataques contra a infraestrutura do servidor Web, como APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) e outros softwares de servidor Web. |
Aplicações Web Específicas | Esta categoria destina-se a assinaturas para detetar ataques e vulnerabilidades em aplicações Web específicas. |
VERME | Esta categoria destina-se a assinaturas para detetar atividades maliciosas que tentam espalhar-se automaticamente pela Internet ou dentro de uma rede através da exploração de uma vulnerabilidade são classificadas como a categoria WORM. Embora a exploração real em si normalmente seja identificada na categoria Exploit ou em determinado protocolo, outra entrada nesta categoria pode ser feita se o malware real envolvido na propagação semelhante a um worm também puder ser identificado. |
Próximos passos
- Para saber mais sobre os recursos do Firewall Premium do Azure, consulte Recursos do Firewall Premium do Azure.